A tervek szerint a Buenos Aires-i Ekoparty konferencián mutatja be két elismert online biztonságtechnikai szakértő, Thai Duong és Juliano Rizzo azt a megoldást, amivel feltörhető a weben széles körben használt TLS (Transport Layer Security) és SSL (Secure Sockets Layer) titkosítás.
(...)
A programozók szerint a titkosított adatfolyam egyetlen bájtjának megfejtése nagyjából két másodpercet vesz igénybe, vagyis egy 1000-2000 karakter hosszú PayPal autentikációs adatcsomag feltörése legalább fél órát vesz igénybe.
(...)
A titkosításnak már 2006 óta létezik az 1.1-es, és 2008-óta 1.2-es verziója, ezek ellen használhatatlan a BEAST - azonban az átállás annyira körülményes, hogy ezek a megoldások nem terjedtek el, gyakorlatilag mindenki az 1.0-t használja a neten, és ezt támogatják a böngészők is.
(...)
http://index.hu/tech/2011/09/20/feltortek_a_legelterjedtebb_webes_titko…
http://www.origo.hu/techbazis/internet/20110920-az-osszes-bongeszo-titk…
- 4420 megtekintés
Hozzászólások
"azonban az átállás annyira körülményes, hogy ezek a megoldások nem terjedtek el, gyakorlatilag mindenki az 1.0-t használja a neten, és ezt támogatják a böngészők is"
Ha így van, LOL, ha nem, LOL.
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Bár a publikálásig még van egy kis idő (nekik nem elég a 15 perc hírnév), addig meg úgy is csak találgatni tudunk.
Azért találgassunk:
A cikk baromság (indexes 1/4 igazság) mert ahhoz, hogy kijelentsük, hogy a TLS v1.0 visszafejthető ahhoz ennyi cipher -t kell egy idejűleg törni: http://www.openssl.org/docs/apps/ciphers.html#TLS_v1_0_cipher_suites_
Ha a cipher eken felül van a visszafejtés lehetősége akkor ahhoz matematikai bizonyítás is kell ergo jogos a matematikai Nóbel díj is.
Én azt gondolom, hogy inkább az openssl -ben lehet egy nagyobb horderejű exploitálási lehetőség, ami nem egyenlő azzal, hogy: "Feltörték a legelterjedtebb webes titkosítást"
----
올드보이
http://molnaristvan.eu/
- A hozzászóláshoz be kell jelentkezni
Sztem nem kell messzire menni, csak meg kell nézni, hogy a TLS 1.2 milyen hibákat javít.
- A hozzászóláshoz be kell jelentkezni
No akkor lehet nézegelődni.
http://www.ietf.org/rfc/rfc2246.txt - TLS 1.0
http://www.ietf.org/rfc/rfc4346.txt - TLS 1.1
http://www.ietf.org/rfc/rfc5246.txt - TLS 1.2
- A hozzászóláshoz be kell jelentkezni
s/Nó/A/ :-)
- A hozzászóláshoz be kell jelentkezni
Eltartott egy darabig, míg megértetem - azzal együtt is, hgy tudom, nincs matematikai Nobel-díj (Nóbel meg semmilyen).
- A hozzászóláshoz be kell jelentkezni
van csak Abel-nek hivják, norvég kormány alapította, norvég akadémia ítéli oda.
OpenBSD 4.9/i386 theo for the prezident:D
- A hozzászóláshoz be kell jelentkezni
Tudom, de az nem Nobel-díj. Ilyen erővel matematikai Oscar-ról is beszélhetnénk, vagy akár számon tarthatnánk mondjuk a színészek között a Latabár-számot is (az Erdős-szám mintájára).
- A hozzászóláshoz be kell jelentkezni
Egy protokoll roppant bonyolult dolog, a konkret kodolasi algoritmusok es azok implementalasai (chiper) csak csekely reszei a protokolnak.
Hiba rengeteg helyen lehet.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Most az egyszer az IE lekörözte a Firefoxot. Egyébként tényleg szégyelljék magukat, amiért nem implementálták az RFC-t kb. 3 nappal a megjelenése után, pedig évek óta elindult már a munka, és vannak félkész patch-ek.
- A hozzászóláshoz be kell jelentkezni
"We're recommending to our customers that they bump rc4 to the top of the ciphersuite list, since it won't be vulnerable to this attack. After a day's research, the attack looks both plausible and potentially severe."
- A hozzászóláshoz be kell jelentkezni
H-online hír, melyben találtok egy linket, hogy miről van szó. "Paypal cookies less than 10 mins." :)
- A hozzászóláshoz be kell jelentkezni